La protection des données à caractère personnel
Entendues comme toutes informations se rapportant à une personne physique identifiée ou identifiable, les données personnelles sont d’une grande valeur. L’adage désormais classique sur Internet dit que « si c’est gratuit, tu es le produit », c’est-à-dire tes données ; d’autres vont jusqu’à voir dans les services gratuits sur Internet « l’équivalent du don de verroteries aux sauvages, trois siècles plus tôt ». La protection des citoyens en ce qui concerne le traitement de leurs données personnelles, que ce soit par les autorités étatiques ou par l’État, constitue un droit fondamental.
Force est de relever que le partage des données personnelles a pris une ampleur croissante avec le développement d’Internet, des réseaux sociaux, de l’e-commerce et plus généralement de tous les services proposés en ligne. Si les données personnelles constituent une information hautement valorisée, il s’agit également d’une source de danger pour les personnes à qui ses données appartiennent, lorsque leur circulation finit par leur échapper. La navigation sur Internet laisse des traces qui sont soigneusement recueillies et exploitées par les professionnels du marketing ciblé. Une fois recueillies, ces traces deviennent une marchandise qui se vend et s’achète. Tout se passe la plupart du temps à l’insu de l’utilisateur qui ignore de quelles données il s’agit, qui y a accès, si elles sont correctes et pour combien de temps elles seront conservées.
Les risques d’atteintes à l’intimité de la vie privée
Les réseaux électroniques génèrent souvent des atteintes à l’image des personnes. La e-réputation, encore appelée « buzz positif » ou « négatif », désigne la manière dont quelqu’un ou quelque chose est considéré dans le cyberespace. La réputation numérique est constituée des opinions favorables ou défavorables sur une personne ou une chose prévalant sur les réseaux numériques.
Cette pénétration croissante des technologies numériques dans la vie sociale pose des risques nouveaux liés à la protection de l’intimité de la vie privée et à la garantie des libertés fondamentales des personnes, en raison des abus que peuvent générer les opérations de traitement des données personnelles. Il n’y a lieu qu’à songer aux différents réseaux sociaux, type Facebook ou Twitter, auxquels beaucoup de personnes adhèrent ou encore aux différents sites, blogs, forums par le biais desquels les personnes livrent souvent des informations confidentielles. Le web social repose sur le principe de l’échange actif d’informations personnelles sous forme de discussion.
Au Sénégal, la numérisation et la mise en ligne du fichier électoral, la généralisation de la carte d’identité nationale biométrique ainsi que les initiatives d’informatisation de l’état civil posent de nouveaux enjeux à la protection des données personnelles.
La protection juridique des données à caractère personnel
Il appert que toute personne a droit à l’autodétermination informationnelle et à la protection des données à caractère personnel la concernant. Ces données ne peuvent être traitées qu’à des fins et dans les conditions déterminées par la loi. En effet, la législation sur les données personnelles régit tout traitement de données personnelles de personnes physiques, donc toute information se rapportant à une personne physique identifiée ou identifiable.
Au Sénégal, la loi n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel a pris pour base les principes directeurs de la réglementation des fichiers informatisés contenant des données à caractère personnel édictés par l’Assemblée générale de l’ONU en 1990 et par la loi française n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Sous l’angle pénal, la loi n° 2008-11 du 25 janvier 2008 portant sur la cybercriminalité a ainsi mis en place un important dispositif répressif destiné à garantir l’effectivité du cadre juridique de la protection des personnes prévu par la loi n° 2008-12 du 25 janvier 2008.
Egalement, il est institué une Commission de protection des Données Personnelles (CDP) du Sénégal créée par la loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel. Cette structure a pour mission de veiller à ce que les traitements des sonnées personnel soient mis en œuvre conformément aux dispositions légales.
La réglementation sénégalaise de la protection des données à caractère personnel étant conforme à l’Acte additionnel du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO.
Protection des données « sensibles »
Les données sensibles sont définies comme celles relevant de l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ainsi que les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
En principe, le traitement de ces données sensibles fait l’objet de mesures particulières de protection. Sauf cas particuliers, ces données ne peuvent pas être traitées. Cependant, un certain nombre d’exceptions sont limitativement énumérées par l’article 9, 2 du RGPD au nombre desquelles figurent le consentement de la personne concernée, la sauvegarde des intérêts vitaux d’une personne physique inapte à donner son consentement ou bien encore la divulgation au public par la personne concernée de ces données.
Les données de santé sont qualifiées de données sensibles. Il en découle une réglementation importante notamment destinée à garantir les conditions d’hébergement de ces données.
Afin de lutter contre la pandémie, de nombreux États mettent en place des systèmes de traçage de la population, certains de force, d’autres de manière volontaire. Ainsi, par exemple, la Chine, la Corée du Sud, Taïwan et Hong Kong ont tous fait usage de technologies numériques pour garantir le respect du confinement des personnes placées en quarantaine, soit par le biais d’applications dédiées ou grand public telles WhatsApp, soit par l’exploitation du bornage des téléphones à des antennes-relais.
Rappel des grands principes applicables aux traitements de données personnelles
Le degré de sensibilisation aux questions de protection de données personnelles est monté à un niveau sans précédent permettant l’adoption, en Europe, du règlement général sur la protection des données (« RGPD »). Ce texte a rappelé avec vigueur les grands principes que doivent respecter les responsables de traitement.
D’abord, les données personnelles doivent être traitées de manière licite, loyale et transparente (« licéité, loyauté, transparence ») et collectées à des fins déterminées, explicites et légitimes, sans qu’elles puissent faire ultérieurement l’objet d’un traitement incompatible avec ces finalités (« finalité »). Ensuite, elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies (« minimisation »). Devant être exactes et tenues à jour, il est nécessaire que les données personnelles soient conservées pendant une durée n’excédant pas celle qui est nécessaire au regard des finalités poursuivies. Enfin, leur exploitation implique la garantie de la sécurité des données, en assurant notamment leur protection contre des traitements illicites, ainsi que contre leur perte (« intégrité et confidentialité »).
Quelques droits des personnes concernées par le traitement automatisé de données
Au-delà de son droit absolu à consentir de manière libre et éclairée, la personne concernée par le traitement de ses données personnelles s’est vue reconnaître un certain nombre de droits.
On peut relever le droit à l’information impliquant le fait que des informations doivent être fournies en cas de collecte directe auprès de la personne concernée au moment de l’obtention des données mais qu’une information lui est également due en cas de collecte indirecte.
Egalement, la personne concernée a le droit de s’opposer, pour des motifs légitimes, à ce que ses données personnelles fassent l’objet d’un traitement. Par ailleurs, la portabilité des données conférant à la personne concernée le droit de récupérer gratuitement les données la concernant dans un format qui peut être réutilisé par un autre responsable de traitement.
Il convient d’ajouter le principe du droit à l’oubli qui permette à toute personne concernée d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant.
En définitive, pour le travail comme pour les loisirs, nous utilisons sans cesse des ordinateurs reliés à Internet, des téléphones portables, des paiements électroniques de toutes sortes… pour ne citer que les applications dont les utilisateurs sont conscients. Notre smartphone permet de nous localiser en permanence grâce au GPS intégré, et d’enregistrer tous nos déplacements.
Il est désormais question d’un « Internet des objets », dans lequel tous les objets de notre environnement communiqueraient entre eux pour notre plus grand bien : le réfrigérateur deviendrait capable de gérer le stock de yaourts et d’en commander lui-même par Internet lorsque cela lui apparaîtrait nécessaire.
Ces évolutions ne sont pas sans conséquence sur le droit de la vie privée, car elles nécessitent la multiplication d’échanges de données personnelles. Ce qui appelle une protection se traduisant par la mise en place de dispositifs juridiques et institutionnels faisant état de principes et de droits reconnus à la personne concernée par le traitement des données à caractère personnel.